IPSec und Routing

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
DanielPeeh
Beiträge: 3
Registriert: Di 18.12.2018, 15:08

IPSec und Routing

Beitrag von DanielPeeh »

Hallo,

folgende Situation:

Es bestehen IPSec Tunnel zu 2 externen Standorten (Ext-A und Ext-B -> beide nicht Securepoint). Der Hauptstandort (Haupt) hat auf der UTM ein Interface (eth0) für die IPSec Verbindungen und ein Interface (eth3) für den Inettraffic des lokalen Netzwerks.

Es sind diese Tunnel erfolgreich aufgebaut:

Ext-A <--> Haupt
Ext-B <--> Haupt

Bis hierhin alles prima. Jetzt möchte ich aber, dass Ext-A auch auf Ext-B zugreifen kann. Dafür habe ich ein weiteres Netz in Phase2 des Tunnels verbunden (Ext-A-Net <--> Ext-B-Net). Somit sollte der Firewall bei Ext-A klar sein, wo das Netzwerk von Ext-B zu finden ist. Das funktioniert auch, da ich nun den Traffic auf meiner UTM sehen kann.

Problem ist nur, dass egal was ich einstelle meine UTM den Traffic der nach B gehen soll einfach über die externe Schnittstelle (eth3) schickt und nicht in den Tunnel zu Standort B. Das betifft übrigens nur den Traffic der aus Standort A kommt, mein interner Traffic wird ganz normal durch den Tunnel geroutet.

Auch wenn ich eine feste Route eintrage ändert sich nichts (oder braucht das einen Neustart der UTM?).


Wäre dankbar für Ideen. :)
Danke vorab

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Moin!

Das landet im Normalfall bei "external", weil dort die Default Route liegt und meist auch der Tunnel terminiert wird!

Damit es in den Tunnel geht, muessen die Quell- und Ziel-IP zu den SAs im Tunnel passen. Sonst muss genattet werden.

Theoretisch muss das Konstrukt ja so aussehen:
Tunnel 1

Standort EXT-A > Hauptstandort

SA

Haupt <> EXT-A
EXT-A <> EXT-B

Tunnel 2

Standort EXT-B > Hauptstandort

SA

Haupt <> EXT-B
EXT-B <> EXT-A


Dann brauchen Sie entsprechend Portfilterregeln. Die Implizierten Regeln duerfen nicht benutzt werden! (Betrifft "Accept" / "Kein NAT fuer IPSEC Verbindungen"). Die Regel ganz oben im Regelwerk ansetzen. Keine andere Portfilterregel davor!

Von den Portfiltern her sollte folgendes reichen:

Internal Network > EXT-X : Dienst | HIDENAT Exclude External Interface
EXT-X > Internal Network : Dienst

EXT-A (Zone vpn-ipsec) > EXT-B (Zone vpn-ipsec) : Dienst
EXT-B (Zone vpn-ipsec) > EXT-A (Zone vpn-ipsec) : Dienst

Ich bin mir nun aber nicht zu hundert Prozent sicher, ob die Zonen jeweils korrekt sind. Wenn das nicht klappt, bitte ein Ticket bei uns aufmachen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten